KR102125047B1 - Key Management and Operation Method for Improving Security of Distribution Intelligence System - Google Patents

Key Management and Operation Method for Improving Security of Distribution Intelligence System Download PDF

Info

Publication number
KR102125047B1
KR102125047B1 KR1020180169868A KR20180169868A KR102125047B1 KR 102125047 B1 KR102125047 B1 KR 102125047B1 KR 1020180169868 A KR1020180169868 A KR 1020180169868A KR 20180169868 A KR20180169868 A KR 20180169868A KR 102125047 B1 KR102125047 B1 KR 102125047B1
Authority
KR
South Korea
Prior art keywords
key
master key
serial number
security
frtu
Prior art date
Application number
KR1020180169868A
Other languages
Korean (ko)
Inventor
김태훈
현무용
박택근
Original Assignee
한전케이디엔 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔 주식회사 filed Critical 한전케이디엔 주식회사
Priority to KR1020180169868A priority Critical patent/KR102125047B1/en
Application granted granted Critical
Publication of KR102125047B1 publication Critical patent/KR102125047B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security
    • Y04S40/24

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

According to an embodiment of the present invention, provided is a key management and operation method for increasing the security of a distribution intelligent system, which is a method for safely generating and operating a master key in order to establish a highly reliable security environment when operating a distribution intelligent system. According to the present invention, by replacing a hard-coded pre-shared key (PSK) and dynamically generating a master key, the security can be secured by fundamentally blocking the threat of leakage of the PSKs and by creating a shared key, generating and sharing the master key, and periodically updating the master key, the confidentiality can be secured and an environment for secure communication can be created.

Description

배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법{Key Management and Operation Method for Improving Security of Distribution Intelligence System}Key Management and Operation Method for Improving Security of Distribution Intelligence System

본 발명은 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법에 관한 것으로, 더욱 상세하게는 배전 지능화 시스템을 운영함에 있어 신뢰성 높은 보안 환경을 구축하기 위해 안전하게 마스터키를 생성하고 운용하기 위한 방법이며, 하드코딩 된 사전 공유 키(PSK : Pre-Shared Key)를 대체하고 마스터키를 동적으로 생성하여, 사전 공유 키 유출에 대한 위협을 원천적으로 차단함으로써 보안성을 확보하기 위한 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법에 관한 것이다.The present invention relates to a key management and operation method for improving the security of a distribution intelligent system, and more specifically, a method for safely generating and operating a master key to establish a reliable security environment in operating the distribution intelligent system. , Improved distribution intelligence system security to secure the security by replacing the hard-coded pre-shared key (PSK) and dynamically generating the master key to fundamentally block the threat to the leakage of the pre-shared key It relates to a key management and operation method for.

배전 지능화 시스템(Distribution Automation System: DAS)은 중앙 배전센터에서 현장 배전 자동화 장치를 원격 운전 및 관리하는 전력기반시설로서, 첨단 IT 기술을 접목시킨 지능화된 미래형 배전시스템이다. Distribution Automation System (DAS) is a power distribution facility that remotely operates and manages field distribution automation devices in a central distribution center, and is an intelligent future distribution system that incorporates advanced IT technologies.

이러한 배전 지능화 시스템은 대규모 서버와 현장 배전 자동화 장치(Field Remote Terminal Unit: FRTU)로 구성되며, 현장 배전 설비의 실시간 데이터 수집, 배전 계통의 상황관리, 고장구간 식별 및 분리제어, 부하절체 제어 등의 기능을 수행한다. This distribution intelligent system consists of a large-scale server and a field remote terminal unit (FRTU), and collects real-time data from field distribution facilities, manages the status of distribution systems, identifies and separates fault sections, and controls load transfer. Perform a function.

즉, 배전 지능화 시스템은 그동안 정전구간을 분리하고 송전하던 수동적인 시스템을 벗어나, 자동 치유가 가능하고 고장구간을 판단 및 예지하는 최첨단 기술이 집약되어 있다.In other words, the distribution intelligent system is out of the manual system that has been separating and transmitting the power outage section, and it is possible to automatically heal, and the state-of-the-art technology for determining and predicting the failure section is concentrated.

배전 지능화 시스템은 대규모 복합 시스템이며, 배전 설비 운전자동화에 상시적으로 사용하고 있는 점에 유의하여야 하며, 용도상 중요성을 인정받아 국가 기반 시설로 지정되었다.The distribution intelligent system is a large-scale complex system, and it should be noted that it is constantly used for operator automation of distribution facilities, and has been designated as a national infrastructure due to its importance in use.

최근에는 다양한 유형의 사이버 보안 위협으로부터 배전지능화 시스템을 안전하게 보호하는 것이 중요해지고 있다. In recent years, it has become important to safely protect the distribution system from various types of cyber security threats.

즉, 배전 지능화 시스템은 사이버 보안 위협을 지금보다 더 실제적인 것으로 여겨야 하며, 보안확보를 위한 다각도의 노력이 요구된다.In other words, the distribution intelligence system should consider cyber security threats to be more realistic than it is now, and requires various efforts to secure security.

현재 배전지능화 시스템은 인터넷과 시스템망이 서로 분리되어 있더라도, 상시적인 정보 보안 확보를 위한 하나의 대책으로 보안 업체로부터 최신 버전의 보안 패치를 수시로 설치하는 것이 필요한 실정이다.Currently, even if the Internet and the system network are separated from each other, it is necessary to frequently install the latest version of the security patch from a security company as a countermeasure for ensuring information security at all times.

아울러, 배전 지능화 시스템에서의 키 관리 체계는 자원 제약으로 인해 대칭키 암호화를 사용하는데, 일반적으로 대칭키 암호화 매커니즘에서는 키가 수동으로 설치되고 고정된 사전 공유 키를 사용하며, 사전 공유 키는 세션 키를 생성하는데 사용된다.In addition, the key management system in the distribution intelligent system uses symmetric key encryption due to resource constraints. In general, in the symmetric key encryption mechanism, the key is manually installed and uses a fixed pre-shared key, and the pre-shared key is a session key. It is used to generate

배전 지능화 기기의 보안성을 향상시키기 위해 이러한 사전 공유 키를 동적으로 생성하고 갱신할 수 있어야 하지만 하드 코딩된 경우 갱신이 불가능하거나 수동으로 갱신하기에는 많은 시간이 소요되는 문제점이 있었다.In order to improve the security of the distribution intelligent device, such a pre-shared key must be dynamically generated and updated, but in the case of hard coding, it is impossible to update or it takes a long time to update manually.

따라서 이러한 키를 효율적으로 생성하고 운용하기 위한 관리 방법이 요구된다.Therefore, a management method for efficiently generating and operating these keys is required.

대한민국 공개특허공보 공개번호 제10-2014-0043537호Republic of Korea Patent Publication No. 10-2014-0043537

본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 배전 지능화 시스템을 운영함에 있어 신뢰성 높은 보안 환경을 구축하기 위해 안전하게 마스터키를 생성하고 운용하기 위한 방법이며, 하드코딩 된 사전 공유 키(PSK : Pre-Shared Key)를 대체하고 마스터키를 동적으로 생성하여, 사전 공유 키 유출에 대한 위협을 원천적으로 차단함으로써 보안성을 확보할 수 있고, 공유키를 생성하고 마스터키를 생성 및 공유, 주기적으로 마스터키를 갱신함으로써 기밀성을 확보하고 안전하게 통신하기 위한 환경을 조성할 수 있는 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법을 제공하는 것이다.The present invention has been devised to solve the above-mentioned problems, and is a method for safely generating and operating a master key to establish a reliable security environment in operating a distribution intelligent system, and a hard-coded pre-shared key (PSK: Pre-Shared Key) and dynamically generating the master key to secure the security by fundamentally blocking the threat of leaking the pre-shared key, generating the shared key, and generating and sharing the master key, periodically It is to provide a key management and operation method for improving the security of a distribution intelligent system that can secure an confidentiality and create an environment for secure communication by updating the master key.

상술한 목적을 달성하기 위한 본 발명의 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법은 FRTU에서 키 생성 프로그램을 통하여 공유키를 생성하고, 생성된 공유키로 시리얼 번호를 암호화하여 보안서버에 전달하는 제1단계; 보안서버에서 제1단계를 거쳐 전달된 데이터로부터 FRTU의 기기 주소값을 확인한 후 이미 보유하고 있는 FRTU의 정보를 이용하여 공유키를 생성하고, 공유키로 시리얼 번호 검증 후 시리일 번호, 기기 주소 값, 통신 시작 시간 및 공유키를 입력으로 마스터키를 생성하며, 생성된 마스터키, 시리얼 번호 및 랜덤값을 공유키로 암호화하여 FRTU에 전달하는 제2단계; FRTU에서 제2단계를 거쳐 전달된 데이터를 공유키로 복호화한 후 시리얼 번호, 기기 주소 값, 통신 시작 시간 및 공유키를 입력으로 마스터키를 생성하고, 제2단계를 거쳐 전달된 마스터키와 비교 검증하며, 검증 후 시리얼 번호 및 랜덤값을 마스터키로 암호화하여 보안서버로 전달하는 제3단계 및 보안서버에서 제3단계를 거쳐 전달받은 데이터를 마스터키로 복호화한 후 시리얼 번호 및 랜덤값을 확인하여 마스터키 공유 절차를 마무리 하는 제4단계를 포함한다.The key management and operation method for improving the security of the distribution intelligent system of the present invention for achieving the above object is to generate a shared key through a key generation program in FRTU, encrypt the serial number with the generated shared key, and deliver it to the security server The first step; After checking the device address value of the FRTU from the data transmitted through the first step in the security server, the shared key is generated using the information of the FRTU already held, and after verifying the serial number with the shared key, the serial number, device address value, A second step of generating a master key by inputting a communication start time and a shared key, and encrypting the generated master key, serial number, and random value with the shared key, and passing it to the FRTU; FRTU decrypts the data transmitted through the second step with a shared key, then generates a master key by inputting the serial number, device address value, communication start time, and shared key, and compares and validates the master key transmitted through the second step After verification, the serial number and the random value are encrypted with the master key and transmitted to the security server through the third step and the security server decrypts the received data with the master key, and then the serial number and random value is checked and the master key is verified. And a fourth step of finalizing the sharing process.

제1단계에서 키 생성 프로그램을 통하여 FRTU의 시리얼 번호, 기기 주소값, 현재 시간값을 입력으로 받아 공유키를 생성하는 단계를 포함할 수 있다.The first step may include receiving the serial number of the FRTU, the device address value, and the current time value through the key generation program and generating a shared key.

제4단계에서 마스터키 공유 이후 세션 키 교환, 업데이트 키 교환, 보안 통신은 DNP SA 표준 방식을 따르는 단계를 포함할 수 있다.In the fourth step, after sharing the master key, the session key exchange, the update key exchange, and the secure communication may include a step conforming to the DNP SA standard method.

제4단계 이후 마스터키 갱신 시에는 FRTU에서 시리얼 번호, 기기 주소값, 현재 시간값과 이전에 보유하고 있는 마스터키를 입력으로 공유키를 생성한 후 마스터키 공유 절차를 진행하는 단계를 포함할 수 있다.When updating the master key after the fourth step, it may include the step of generating a shared key by inputting the serial number, the device address value, the current time value, and the previously held master key in the FRTU and then proceeding to the master key sharing procedure. have.

이상에서 설명한 바와 같은 본 발명의 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법에 따르면, 배전 지능화 시스템을 운영함에 있어 신뢰성 높은 보안 환경을 구축하기 위해 안전하게 마스터키를 생성하고 운용하기 위한 방법이며, 하드코딩 된 사전 공유 키(PSK : Pre-Shared Key)를 대체하고 마스터키를 동적으로 생성하여, 사전 공유 키 유출에 대한 위협을 원천적으로 차단함으로써 보안성을 확보할 수 있고, 공유키를 생성하고 마스터키를 생성 및 공유, 주기적으로 마스터키를 갱신함으로써 기밀성을 확보하고 안전하게 통신하기 위한 환경을 조성할 수 있는 효과가 있다.According to the key management and operation method for improving the security of the distribution intelligent system of the present invention as described above, it is a method for safely generating and operating a master key to establish a reliable security environment in operating the distribution intelligent system. , By replacing the hard-coded pre-shared key (PSK) and dynamically generating the master key, it is possible to secure security by fundamentally blocking the threat of the pre-shared key leak and generating the shared key And it has the effect of creating and sharing a master key and periodically updating the master key to secure confidentiality and create an environment for secure communication.

도 1은 본 발명의 일실시예에 따른 배전 지능화 시스템을 나타낸 도면이며,
도 2는 본 발명의 일실시예에 따른 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법에 사용되는 DNP-SA 절차를 나타낸 도면이며,
도 3은 본 발명의 일실시예에 따른 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법에서의 마스터키 생성 및 공유 방법을 나타낸 도면이며,
도 4는 본 발명의 일실시예에 따른 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법에서의 마스터키 갱신 방법을 나타낸 도면이다.1 is a view showing a distribution intelligent system according to an embodiment of the present invention,
2 is a diagram showing a DNP-SA procedure used in a key management and operation method for improving the security of a distribution intelligent system according to an embodiment of the present invention,
3 is a diagram illustrating a master key generation and sharing method in a key management and operation method for improving the security of a distribution intelligent system according to an embodiment of the present invention,
4 is a diagram illustrating a master key update method in a key management and operation method for improving the security of a distribution intelligent system according to an embodiment of the present invention.

이하, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 상세히 설명하기 위하여, 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings in order to enable those skilled in the art to easily implement the present invention.

먼저, 배전 지능화 시스템은 도 1에 나타낸 바와 같이, 배전 센터, 운영실, 현장으로 이루어져 있으며, 현장 단말기기인 FRTU와 배전 센터의 DAS 서버는 보안서버를 통해 서로 통신이 이루어진다.First, as shown in FIG. 1, the distribution intelligent system consists of a distribution center, an operation room, and a field, and the FRTU, which is a field terminal device, and the DAS server of the distribution center communicate with each other through a security server.

이러한 배전 지능화 시스템에서는 FRTU와 DAS 서버 사이의 보안 통신을 위해 DNP-SA 표준 기술을 적용하였으며, DNP-SA는 도 2에 나타낸 바와 같이, Handshake - Update Key change - Session key change - Message authentication 의 절차로 통신이 이루어진다.In this distribution intelligent system, DNP-SA standard technology is applied for secure communication between the FRTU and the DAS server, and DNP-SA is a procedure of Handshake-Update Key change-Session key change-Message authentication as shown in FIG. Communication takes place.

이때 사용되는 키 정보는 표 1에 나타낸 바와 같다.The key information used at this time is shown in Table 1.

TypeType USEUSE Change MechanismChange Mechanism Master KeyMaster Key Master에서 Update Key를 변경할 때 사용한다.Used to change the Update Key in the Master. Master Key는 미리 공유되어야 한다.Master Key must be shared in advance. Update KeyUpdate Key Master에서 Session Key를 변경할 때 사용한다.It is used to change the session key in the master. Master는 Master Key를 이용하여 Update Key Change 메시지를 이용하여 전달한다.The Master transmits using the Update Key Change message using the Master Key. 제어 Session KeyControl Session Key Master에서 제어 메시지를 송신할 때 인증용으로 사용한다.It is used for authentication when the master sends a control message. Master는 Update Key를 이용하여 Key Change 메시지를 이용하여 전달한다.The Master transmits using the Key Change message using the Update Key. 모니터링 Session KeyMonitoring Session Key Outstation에서 인증데이터를 송신할 때 사용한다.Used to send authentication data from Outstation. Master는 Update Key를 이용하여 Key Change 메시지를 이용하여 전달한다.The Master transmits using the Key Change message using the Update Key. 메시지 Encrypt KeyMessage Encrypt Key DNP3.0 메시지를 암호화 하기 위해 사용한다.Used to encrypt DNP3.0 messages. 메시지 Encrypt Key는 미리 공유되어야 한다.The message Encrypt Key must be shared in advance.

특히, Master Key는 사전 공유되는 Key이며 FRTU에 전달 및 입력하는 과정에서 반드시 비밀이 보장되어야 하고, 절대 노출되면 안되며, Master Key를 안전하게 보관하는 것은 매우 중요하다.In particular, the Master Key is a pre-shared key and must be kept confidential in the process of transmission and input to the FRTU, never exposed, and it is very important to safely store the Master Key.

만약 Master Key가 FRTU 보안모듈에 안전하게 저장되지 않았다면 인증 메커니즘은 위협을 받게 되며, 반드시 Pre-Shared가 되어야 한다.If the Master Key is not securely stored in the FRTU security module, the authentication mechanism is threatened and must be pre-shared.

Pre-Shared란 두 개의 디바이스간 사용되어질 키를 미리 사전에 공유하는 메커니즘을 말하는 것으로, 대칭키는 암호화를 위해 반드시 양단의 사용자가 키를 사전 공유하여야 한다.Pre-Shared refers to a mechanism for pre-sharing a key to be used between two devices, and a symmetric key must be pre-shared by a user at both ends for encryption.

이렇게 사전 공유(Pre-Shared)를 하기 가장 손쉬운 방법은 소스코드에 하드코딩된 키 값을 모든 통신 객체가 공유하여 사용하는 방식이며, 이때 키 값이 리버싱 또는 사회공학적인 방법을 통해 외부로 유출된다면 통신 데이터의 기밀성 및 무결성을 보장할 수 없으며, 최악의 경우 중간자 공격을 통한 정전사고를 유발할 수 있는 중대한 위험요소이다. The easiest way to pre-share is to use the key value hard-coded in the source code by all communication objects, and the key value is leaked to the outside through reversing or social engineering methods. If possible, the confidentiality and integrity of the communication data cannot be guaranteed, and in the worst case, it is a serious risk factor that can cause an outage through a man-in-the-middle attack.

따라서, 안전하게 사전 공유키를 생성하고 운용하기 위한 기술적 대책이 필요하다. Therefore, there is a need for technical measures to safely generate and operate the pre-shared key.

이에 본 발명에 따른 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법은 보안서버와 모든 FRTU는 시간동기화 되어 있는 상태에서, 보안서버 및 FRTU에 사전 공유키를 주입하는 것이 아니라 키 생성 프로그램을 설치한다. Accordingly, the key management and operation method for improving the security of the distribution intelligent system according to the present invention is that the security server and all the FRTUs are time-synchronized. do.

키 생성 프로그램에서는 FRTU의 시리얼 번호, 기기 주소값, 현재 시간값을 입력으로 받아 공유키를 생성하는 것으로, 이때 현재 시간값은 통신이 시작된 시간을 의미하며, 통신 지연을 고려하여 초 단위는 사용하지 않는다.In the key generation program, the shared key is generated by receiving the serial number of the FRTU, the device address value, and the current time value as input. At this time, the current time value means the time when the communication started, and the second unit is not used in consideration of the communication delay. Does not.

이어서, 본 발명에 따른 배전 지능화 시스템 보안성 향상을 위한 마스터키 생성 및 공유 방법은 도 3에 나타낸 바와 같이, FRTU에서 키 생성 프로그램을 통하여 공유키를 생성한 후, 생성된 공유키로 시리얼 번호를 암호화하여 보안서버에 전달한다.Subsequently, the master key generation and sharing method for improving the security of the distribution intelligent system according to the present invention, as shown in FIG. 3, generates a shared key through a key generation program in FRTU, and then encrypts the serial number with the generated shared key. To the secure server.

이어서, 보안서버에서는 FRTU로부터 전달된 데이터로부터 FRTU의 기기 주소값을 확인한 후 이미 보유하고 있는 FRTU의 정보를 이용하여 공유키를 생성하고, 공유키로 시리얼 번호 검증 후 시리일 번호, 기기 주소 값, 통신 시작 시간 및 공유키를 입력으로 마스터키를 생성하며, 생성된 마스터키, 시리얼 번호 및 랜덤값을 공유키로 암호화하여 FRTU에 전달한다.Subsequently, the security server checks the device address value of the FRTU from the data transmitted from the FRTU, generates a shared key using the information of the already owned FRTU, verifies the serial number with the shared key, then serial number, device address value, and communication The master key is generated with the start time and the shared key as input, and the generated master key, serial number, and random value are encrypted with the shared key and transmitted to the FRTU.

이어서, FRTU에서는 보안서버로부터 전달된 데이터를 공유키로 복호화한 후 시리얼 번호, 기기 주소 값, 통신 시작 시간 및 공유키를 입력으로 마스터키를 생성하고, 보안서버로부터 전달된 마스터키와 비교 검증하며, 검증 후 시리얼 번호 및 랜덤값을 마스터키로 암호화하여 보안서버로 전달한다.Subsequently, FRTU decrypts the data transmitted from the security server with the shared key, and then generates a master key by inputting the serial number, device address value, communication start time, and shared key, and compares and verifies the master key transmitted from the security server. After verification, the serial number and random value are encrypted with the master key and transmitted to the security server.

이어서, 보안서버에서는 FRTU로부터 전달된 데이터를 마스터키로 복호화한 후 시리얼 번호 및 랜덤값을 확인하여 마스터키 공유 절차를 마무리 한다.Subsequently, the security server decrypts the data transmitted from the FRTU with the master key, and then confirms the serial number and random value to complete the master key sharing procedure.

이어서, 마스터키 공유 이후 세션 키 교환, 업데이트 키 교환, 보안 통신은 DNP-SA 표준 방식을 적용한다.Subsequently, after sharing the master key, session key exchange, update key exchange, and secure communication apply the DNP-SA standard method.

아울러, 본 발명에 따른 배전 지능화 시스템 보안성 향상을 위한 마스터키 갱신을 위하여, 도 4에 나타낸 바와 같이, FRTU에서 키 생성 프로그램에 시리얼 번호, 기기 주소 값, 현재 시간 값 및 이전 마스터키를 입력하여, 신규 마스터키를 생성한다.In addition, in order to update the master key for improving the security of the distribution intelligent system according to the present invention, as shown in FIG. 4, the FRTU inputs the serial number, the device address value, the current time value, and the previous master key into the key generation program. , Create a new master key.

이어서, FRTU는 랜덤값을 생성하고, 신규 마스터키로 시리얼 번호와 랜덤값을 암호화하여 보안서버에 전달한다.Subsequently, the FRTU generates a random value, encrypts the serial number and the random value with a new master key, and transmits it to the security server.

이어서, 보안서버에서는 FRTU로부터 전달된 데이터로부터 FRTU의 시리얼 번호, 기기 주소값, 통신 시작 시간값 및 이전 마스터키를 입력으로 하여 신규 마스터키를 생성함으로써 마스터키를 갱신한다.Subsequently, the security server updates the master key by generating a new master key by inputting the serial number of the FRTU, the device address value, the communication start time value, and the previous master key from the data transmitted from the FRTU.

이어서, 보안서버는 갱신된 신규 마스터키로 시리얼 번호 및 랜덤값을 암호화하여 FRTU에 전달한다.Subsequently, the security server encrypts the serial number and random value with the updated new master key and transmits it to the FRTU.

이어서, FRTU는 보안서버로부터 전달된 데이터를 신규 마스터키로 복호화한 후 시리얼 번호 및 랜덤값을 확인하여 마스터키 갱신 절차를 마무리 한다.Subsequently, the FRTU decrypts the data transmitted from the security server with a new master key, and then confirms the serial number and random value to complete the master key update procedure.

이상에서 설명한 바와 같은 본 발명의 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법에 따르면, 배전 지능화 시스템을 운영함에 있어 신뢰성 높은 보안 환경을 구축하기 위해 안전하게 마스터키를 생성하고 운용하기 위한 방법이며, 하드코딩 된 사전 공유 키(PSK : Pre-Shared Key)를 대체하고 마스터키를 동적으로 생성하여, 사전 공유 키 유출에 대한 위협을 원천적으로 차단함으로써 보안성을 확보할 수 있고, 공유키를 생성하고 마스터키를 생성 및 공유, 주기적으로 마스터키를 갱신함으로써 기밀성을 확보하고 안전하게 통신하기 위한 환경을 조성할 수 있는 효과가 있다.According to the key management and operation method for improving the security of the distribution intelligent system of the present invention as described above, it is a method for safely generating and operating a master key to establish a reliable security environment in operating the distribution intelligent system. , By replacing the hard-coded pre-shared key (PSK) and dynamically generating the master key, it is possible to secure security by fundamentally blocking the threat of the pre-shared key leak and generating the shared key And it has the effect of creating and sharing a master key and periodically updating the master key to secure confidentiality and create an environment for secure communication.

이상의 설명에서는 본 발명의 바람직한 실시예를 제시하여 설명하였으나, 본 발명이 반드시 이에 한정되는 것은 아니며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있음을 쉽게 알 수 있을 것이다.In the above description, a preferred embodiment of the present invention has been presented and described, but the present invention is not necessarily limited thereto, and a person skilled in the art to which the present invention pertains does not depart from the technical spirit of the present invention. It will be readily apparent that various substitutions, modifications and variations are possible.

Claims (4)

FRTU에서 키 생성 프로그램을 통하여 공유키를 생성하고, 생성된 공유키로 시리얼 번호를 암호화하여 보안서버에 전달하는 제1단계;
보안서버에서 제1단계를 거쳐 전달된 데이터로부터 FRTU의 기기 주소값을 확인한 후 이미 보유하고 있는 FRTU의 정보를 이용하여 공유키를 생성하고, 공유키로 시리얼 번호 검증 후 시리일 번호, 기기 주소 값, 통신 시작 시간 및 공유키를 입력으로 마스터키를 생성하며, 생성된 마스터키, 시리얼 번호 및 랜덤값을 공유키로 암호화하여 FRTU에 전달하는 제2단계;
FRTU에서 제2단계를 거쳐 전달된 데이터를 공유키로 복호화한 후 시리얼 번호, 기기 주소 값, 통신 시작 시간 및 공유키를 입력으로 마스터키를 생성하고, 제2단계를 거쳐 전달된 마스터키와 비교 검증하며, 검증 후 시리얼 번호 및 랜덤값을 마스터키로 암호화하여 보안서버로 전달하는 제3단계; 및
보안서버에서 제3단계를 거쳐 전달받은 데이터를 마스터키로 복호화한 후 시리얼 번호 및 랜덤값을 확인하여 마스터키 공유 절차를 마무리 하는 제4단계;
를 포함하는 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법.A first step of generating a shared key through a key generation program in FRTU, and encrypting the serial number with the generated shared key and transmitting it to the security server;
After checking the device address value of the FRTU from the data transmitted through the first step in the security server, the shared key is generated using the information of the FRTU already held, and after verifying the serial number with the shared key, the serial number, device address value, A second step of generating a master key by inputting a communication start time and a shared key, and encrypting the generated master key, serial number, and random value with the shared key, and passing it to the FRTU;
FRTU decrypts the data transmitted through the second step with a shared key, and then generates a master key by inputting the serial number, device address value, communication start time, and shared key, and comparing and verifying it with the master key transmitted through the second step After the verification, the third step of encrypting the serial number and random value with the master key and transmitting it to the security server; And
A fourth step of completing the master key sharing procedure by verifying the serial number and the random value after decrypting the data received through the third step from the security server with the master key;
Key management and operation method for improving the security of the distribution intelligent system comprising a. 청구항 1에 있어서, 제1단계에서 키 생성 프로그램을 통하여 FRTU의 시리얼 번호, 기기 주소값, 현재 시간값을 입력으로 받아 공유키를 생성하는 단계를 포함하는 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법.The method according to claim 1, Key management for improving the security of the distribution intelligent system, comprising the step of generating a shared key by receiving the serial number, device address value, and current time value of the FRTU through the key generation program in the first step. How it works. 청구항 1에 있어서, 제4단계에서 마스터키 공유 이후 세션 키 교환, 업데이트 키 교환, 보안 통신은 DNP SA 표준 방식을 따르는 단계를 포함하는 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법.The method of claim 1, wherein in the fourth step, after sharing the master key, session key exchange, update key exchange, and secure communication follow the DNP SA standard method. 청구항 1에 있어서, 제4단계 이후 마스터키 갱신 시에는 FRTU에서 시리얼 번호, 기기 주소값, 현재 시간값과 이전에 보유하고 있는 마스터키를 입력으로 공유키를 생성한 후 마스터키 공유 절차를 진행하는 단계를 포함하는 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법.The method according to claim 1, when the master key is updated after the fourth step, the FRTU generates a shared key by inputting the serial number, the device address value, the current time value and the previously held master key, and then proceeds with the master key sharing procedure. Key management and operation method for improving the security of the distribution intelligent system including the steps.
KR1020180169868A 2018-12-26 2018-12-26 Key Management and Operation Method for Improving Security of Distribution Intelligence System KR102125047B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180169868A KR102125047B1 (en) 2018-12-26 2018-12-26 Key Management and Operation Method for Improving Security of Distribution Intelligence System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180169868A KR102125047B1 (en) 2018-12-26 2018-12-26 Key Management and Operation Method for Improving Security of Distribution Intelligence System

Publications (1)

Publication Number Publication Date
KR102125047B1 true KR102125047B1 (en) 2020-06-19

Family

ID=71137157

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180169868A KR102125047B1 (en) 2018-12-26 2018-12-26 Key Management and Operation Method for Improving Security of Distribution Intelligence System

Country Status (1)

Country Link
KR (1) KR102125047B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114070549A (en) * 2020-07-31 2022-02-18 马上消费金融股份有限公司 Key generation method, device, equipment and storage medium
KR20220036141A (en) * 2020-09-15 2022-03-22 한전케이디엔주식회사 Security device and method for power control system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010111001A (en) * 2000-06-10 2001-12-15 최제형 An authentication method in a type of a variable cryptographic key using both the cryptographic key of the authentication medium and the inherent information of the computer hardware, an information providing system using an authentication medium shown the period and the authorization and stored the authentication method, and a system for settling an account for use of the given information
KR20070074397A (en) * 2006-01-09 2007-07-12 삼성전자주식회사 Ownership sharing method and apparatus using secret key in home network remote-controller
KR20140043537A (en) 2012-09-24 2014-04-10 한국전력공사 Secure communication apparatus and method for securing scada communication network
WO2015065913A1 (en) * 2013-09-10 2015-05-07 M2M And Lot Technologies, Llc A set of servers for "machine-to-machine" communications using public key infrastructure
KR20170017455A (en) * 2015-08-07 2017-02-15 주식회사 엘지씨엔에스 Mutual authentication method between mutual authentication devices based on session key and token, mutual authentication devices
KR20180073015A (en) * 2016-12-22 2018-07-02 삼성전자주식회사 Method of performing secure communication between devices

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010111001A (en) * 2000-06-10 2001-12-15 최제형 An authentication method in a type of a variable cryptographic key using both the cryptographic key of the authentication medium and the inherent information of the computer hardware, an information providing system using an authentication medium shown the period and the authorization and stored the authentication method, and a system for settling an account for use of the given information
KR20070074397A (en) * 2006-01-09 2007-07-12 삼성전자주식회사 Ownership sharing method and apparatus using secret key in home network remote-controller
KR20140043537A (en) 2012-09-24 2014-04-10 한국전력공사 Secure communication apparatus and method for securing scada communication network
WO2015065913A1 (en) * 2013-09-10 2015-05-07 M2M And Lot Technologies, Llc A set of servers for "machine-to-machine" communications using public key infrastructure
KR20170017455A (en) * 2015-08-07 2017-02-15 주식회사 엘지씨엔에스 Mutual authentication method between mutual authentication devices based on session key and token, mutual authentication devices
KR20180073015A (en) * 2016-12-22 2018-07-02 삼성전자주식회사 Method of performing secure communication between devices

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114070549A (en) * 2020-07-31 2022-02-18 马上消费金融股份有限公司 Key generation method, device, equipment and storage medium
KR20220036141A (en) * 2020-09-15 2022-03-22 한전케이디엔주식회사 Security device and method for power control system
KR102404066B1 (en) 2020-09-15 2022-05-31 한전케이디엔주식회사 Security device and method for power control system

Similar Documents

Publication Publication Date Title
CN100380274C (en) Method and system for backup and restore of a context encryption key
CN109412794A (en) A kind of quantum key automatic filling method and system adapting to power business
WO2020192285A1 (en) Key management method, security chip, service server and information system
CN101005357A (en) Method and system for updating certification key
CN106416123A (en) Password-based authentication
CN110880972A (en) Block chain key management system based on safe multiparty calculation
KR102125047B1 (en) Key Management and Operation Method for Improving Security of Distribution Intelligence System
CN109842506A (en) Key management system disaster tolerance processing method, device, system and storage medium
CN112182551A (en) PLC equipment identity authentication system and PLC equipment identity authentication method
US12047494B2 (en) Protected protocol for industrial control systems that fits large organizations
US11902789B2 (en) Cloud controlled secure Bluetooth pairing for network device management
CN111654503A (en) Remote control method, device, equipment and storage medium
KR101359789B1 (en) System and method for security of scada communication network
KR101575042B1 (en) Different Units Same Security for instrumentation control system
CN114139176A (en) Industrial internet core data protection method and system based on state secret
CN107800535A (en) A kind of processing method and processing device of data safety
KR20130051636A (en) Method for mutual authentication and security in m2m environment
WO2023158888A1 (en) Revocation of certificates issued by distributed servers
CN103856463A (en) Lightweight directory access protocol realizing method and device based on key exchange protocol
CN100596350C (en) Method for encrypting and decrypting industrial control data
CN114859810A (en) System and method for safely downloading configuration engineering
Saputra et al. Long term key management architecture for SCADA systems
US20220247560A1 (en) Key-management for advanced metering infrastructure
KR102404066B1 (en) Security device and method for power control system
CN112906032A (en) File secure transmission method, system and medium based on CP-ABE and block chain

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant